Hvordan forhindre sikkerhetsproblemer hos underleverandører? En forklaring på oppbygging og drift av internkontrollsystemer hos bestilleren

Bedrifter er pålagt å etablere interne kontrollsystemer i henhold til den japanske selskapsloven (Companies Act) og den japanske loven om handel med finansielle instrumenter (Financial Instruments and Exchange Act). “Interne kontrollsystemer” kan virke komplisert, men for å si det enkelt, er det et system for å drive selskapets virksomhet på en passende måte og forhindre risiko.

Så, hvordan fungerer interne kontrollsystemer i forhold til eksterne handelspartnere? Spesielt blir det et problem fordi bedrifter ofte outsourcer forskjellige oppgaver som logistikk og vedlikehold til eksterne enheter.

I denne artikkelen vil vi forklare om drift av interne kontrollsystemer hos tjenesteleverandører og tiltak for å forhindre sikkerhetshendelser.

Hva er et internt kontrollsystem?

Et internt kontrollsystem er organisatoriske midler og metoder som er nødvendige for at bedrifter og organisasjoner skal kunne drive på en passende måte. Dette er definert i både den japanske selskapsloven (‘Japansk Selskapslov’) og den japanske finansielle instrumenter og børshandel loven (‘Japansk Finansielle Instrumenter og Børshandel Lov’).

I henhold til den japanske selskapsloven, er følgende selskaper pålagt å etablere et internt kontrollsystem:

• Store selskaper
• Selskaper med nominasjonskomitéer
• Selskaper med revisjonskomitéer

I tillegg pålegger den japanske finansielle instrumenter og børshandel loven børsnoterte selskaper å etablere et internt kontrollsystem, og de må levere en intern kontrollrapport for hvert regnskapsår. Denne interne kontrollrapporten må være sertifisert av en autorisert regnskapsfører eller et revisjonsfirma.

Hvis det oppstår skade som følge av mangler i det interne kontrollsystemet, som for eksempel informasjonslekkasje, kan selskapet og dets styremedlemmer være ansvarlige for erstatning. For mer informasjon om interne kontrollsystemer for informasjonsbeskyttelse, vennligst se artikkelen nedenfor.

Relatert artikkel: Forklaring av tiltak for å forhindre informasjonslekkasje – Innholdet i selskapsregler som bør etableres

Risiko i interne kontrollsystemer som kan oppstå ved outsourcing

Selv om din bedrift har etablert egne informasjonssikkerhetsregler, kan det oppstå sikkerhetshendelser hos leverandøren hvis de ikke har etablert slike regler, eller hvis innholdet er utilstrekkelig.

Hvis en sikkerhetshendelse oppstår, selv om det var en ulykke hos leverandøren, er det en risiko for at bildet av det oppdragsgivende selskapet, som har ansvaret for styringen, kan bli skadet.

Derfor er det viktig å etablere et system hos leverandøren som forhindrer sikkerhetshendelser og lignende når du outsourcer arbeid.

Internt kontrollsystem inkludert outsourcingstyring er nødvendig

Basert på rettspraksis og lignende, er etablering av et informasjonssikkerhetssystem en av de viktige elementene i å bygge et internt kontrollsystem.

Hvis en bedrift eller organisasjon forårsaker skade på en tredjepart på grunn av mangler i informasjonssikkerhetssystemet, kan styremedlemmer bli holdt ansvarlige for brudd på deres plikt til forsvarlig styring for å ha forsømt å bygge et internt kontrollsystem. I tillegg, hvis det er mangler i informasjonssikkerhetssystemet til en outsourcet tjenesteleverandør som forårsaker skade på en tredjepart, kan det også være mulig at bedriften som outsourcer eller styremedlemmene blir holdt ansvarlige.

Det er ikke bekreftet tilfeller der krav om erstatning basert på brudd på plikten til forsvarlig styring på grunn av brudd på plikten til å bygge et internt kontrollsystem har blitt anerkjent mot styremedlemmer av outsourcere i tilfelle en sikkerhetshendelse på grunn av mangler i styringen hos outsourcet tjenesteleverandør. Men det er mulig at søksmål kan bli reist i fremtiden.

Betydningen av interne kontrollsystemer lært gjennom eksempler

La oss se på hvilke tiltak som bør tas når man outsourcer arbeid, basert på tidligere eksempler.

Informasjonslekkasje hos den japanske pensjonsorganisasjonen

I 2015 ble det bekreftet at personlig informasjon, som grunnpensjonsnummer og navn, hadde lekket ut fra den japanske pensjonsorganisasjonen på grunn av uautorisert tilgang.

I denne forbindelse ble det opprettet en undersøkelseskommisjon for informasjonslekkasjen forårsaket av uautorisert tilgang til den japanske pensjonsorganisasjonen (heretter kalt “undersøkelseskommisjonen”), og en undersøkelsesrapport datert 21. august 2015 (Heisei 27) som oppsummerer hendelsesforløpet ble utarbeidet. Ifølge denne rapporten ble LAN-systemet til den japanske pensjonsorganisasjonen angrepet, og en stor mengde personlig informasjon fra delte mapper lekket ut.

Da systemet ble bygget, var det bestemt at personlig informasjon ikke skulle håndteres på LAN-systemet, men det ser ut til at personlig informasjon kunne bli lagt inn i delte mapper på LAN-systemet under visse forhold. I tillegg var ikke LAN-systemet til den japanske pensjonsorganisasjonen i stand til å håndtere målrettede angrep, noe som førte til at det tok tid å få oversikt over situasjonen etter at angrepet ble oppdaget.

Undersøkelseskommisjonen har foreslått følgende tiltak for å forhindre at dette skjer igjen:

• Organisasjonsutvikling (etablering av en sikkerhetsavdeling, etc.)
• Utvikling av tilsynssystemet i Helsedepartementet (utvikling av informasjonssikkerhetssystemet i Helsedepartementet, etc.)
• Teknisk utvikling (systemutvikling basert på virkelige forretningsforhold og risiko, etc.)
• Endring av holdninger i den japanske pensjonsorganisasjonen

De har også påpekt at det bare var en generell avtale om informasjonssikkerhet mellom dem og deres kontraktspartner, og at det ikke var noen klar avtale om spesifikke tiltak i tilfelle en hendelse, noe som førte til forsinkelser i responsen og større skade. (Kilde: Helsedepartementet, “Rapport datert 21. august, Heisei 27“)

For å forhindre slike situasjoner, vil det være nødvendig å:

• Inngå en service level agreement (SLA) med spesifikke detaljer
• Ha en klar avtale om at kontraktspartneren vil håndtere nødsituasjoner

En service level agreement (SLA) er en kontrakt mellom tjenesteleverandøren og mottakeren som avtaler kvaliteten, anvendelsesområdet, mottaksmetoden, ansvar og kostnader for tjenesten. Ved å ha en forhåndsavtale om responsen ved en hendelse, blir det mulig å reagere raskt og hensiktsmessig.

Personlig informasjonslekkasje hos Benesse Corporation

I 2014 skjedde det en lekkasje av personlig informasjon hos Benesse Corporation. Dette skjedde da en ansatt hos en underleverandør kopierte kundedata og solgte det til en listeoperatør, noe som resulterte i at omtrent 29,89 millioner kundeinformasjonsenheter ble lekket.

Årsaken til denne hendelsen kan tilskrives det faktum at til tross for at dataadgangsrettigheter ble gitt til underleverandører og deres underleverandører, var det ikke et tilstrekkelig overvåkningssystem for å forhindre informasjonslekkasje.

Mulige mottiltak inkluderer:

• Definere omfanget av arbeid og tilgang til informasjon for underleverandører i kontrakten
• Gjennomføring av regelmessige revisjoner av underleverandører
• Pålegge underleverandører en rapporteringsplikt om overvåkningssystemet
• Bestemme hvem som skal håndtere viktig informasjon hos underleverandører og gjennomføre en vurdering

Etter hendelsen saksøkte en av kundene Benesse Corporation, tjenesteleverandøren, for 100 000 yen i erstatning for lekkasjen av hans og hans barns personlige informasjon i denne hendelsen.

Kunden tapte i både første og andre instans, men i en høyesterettsavgjørelse datert 23. oktober 2017 (Heisei 29), ble det bestemt at:

“Det var upassende å avvise appellanten sin forespørsel umiddelbart bare fordi det ikke var noen påstander eller bevis for skade utover ubehag, uten å undersøke tilstrekkelig om det var noen psykisk skade på appellanten på grunn av krenkelse av personvernet.”

Skadeerstatningssak nr. 1892 (mottatt) i 2016, Høyesterettsdom 23. oktober 2017 (Heisei 29)

Dermed ble dommen i andre instans opphevet, og saken ble sendt tilbake til Osaka High Court for ny behandling.

Den 20. november 2019 anerkjente Osaka High Court krenkelse av personvernet og beordret Benesse Corporation til å betale 1 000 yen.

I både første og andre instans ble det lagt vekt på ikke bare krenkelse av personvernet, men også om det faktisk hadde oppstått skade. Imidlertid var Høyesteretts avgjørelse at det skulle vurderes om det hadde vært en krenkelse av personvernet, uavhengig av om det hadde oppstått skade. I andre tilfeller av informasjonslekkasje er det mange tilfeller der krav om erstatning basert på informasjonslekkasje er anerkjent, og det antas at denne Høyesteretts avgjørelsen følger denne trenden.

Oppsummering: Konsulter en advokat om interne kontrollsystemer

For sunn drift av selskaper og organisasjoner, er det nødvendig å riktig bygge og drive interne kontrollsystemer. Selv om en tredjepart forårsaker en sikkerhetshendelse som informasjonslekkasje, kan oppdragsgiveren bli holdt ansvarlig, og det er umulig å unngå en nedgang i bedriftens image. For å unngå slike situasjoner, må du på forhånd bygge et system der det interne kontrollsystemet fungerer tilstrekkelig hos tredjeparten.

Vennligst konsulter en advokat om bygging og drift av interne kontrollsystemer, inkludert etablering av informasjonssikkerhetssystemer.

Introduksjon til tiltakene våre

Monolith Law Office er et advokatfirma med høy ekspertise innen IT, spesielt internett og jus. Behovet for juridisk sjekk av oppbygging og drift av interne kontrollsystemer øker stadig. Detaljer er beskrevet i artikkelen nedenfor.

Monolith Law Office’s praksisområder: IT og oppstartsselskapers forretningsjus